La serie di attacchi informatici alle infrastrutture critiche - KRITIS - non sembra arrestarsi. All'inizio di febbraio, un attacco hack ha catturato la società svizzera Swissport e ha interrotto le operazioni di volo in Svizzera, seguito dall'attacco ransomware al parco serbatoi Oiltanking in Germania, dagli attacchi a SEA-Invest in Belgio e Evos nei Paesi Bassi. Alcuni commenti degli esperti.
“Gli aggressori informatici spesso prendono di mira i loro attacchi dove possono causare la maggior interruzione dell'attività. In questo modo, la vittima potrebbe essere più disposta a pagare un riscatto per riportare i propri sistemi online. Per questo motivo, infrastrutture critiche, ospedali, nodi di trasporto e reti elettriche cittadine sono spesso presenti nelle notizie sugli attacchi ransomware. Gli aggressori troveranno sempre modi per creare situazioni di pressione che li avvantaggiano.
Gli aggressori trovano sempre nuovi modi
Il ransomware non è una nuova minaccia, ma le tattiche utilizzate dagli aggressori per penetrare nell'infrastruttura aziendale e bloccare o rubare le risorse si stanno evolvendo rapidamente. Anni fa, gli aggressori usavano tattiche di forza bruta per trovare una piccola vulnerabilità in un'azienda e quindi sfruttarla per impossessarsi dell'infrastruttura. Oggi, ci sono modi molto più furtivi per i criminali informatici di entrare nell'infrastruttura. Il più delle volte, escogitano come compromettere l'account di un dipendente per accedere con credenziali legittime che non destano sospetti.
Le credenziali vengono spesso rubate tramite attacchi di phishing sui dispositivi mobili. Su smartphone e tablet, gli aggressori hanno innumerevoli opportunità di impegnarsi nell'ingegneria sociale tramite SMS, piattaforme di chat di terze parti e app di social media. Oltre a proteggere l'endpoint, le organizzazioni devono anche essere in grado di proteggere dinamicamente l'accesso e le azioni all'interno delle applicazioni cloud e private. È qui che entrano in gioco le soluzioni Zero Trust Network Access (ZTNA) e Cloud Access Security Broker (CASB). Comprendendo le interazioni tra utenti, dispositivi, reti e dati, le organizzazioni possono individuare indicatori chiave di compromissione che puntano al ransomware o all'esfiltrazione massiccia di dati. Mettere in sicurezza i dispositivi mobili dei dipendenti, nonché le applicazioni cloud e personali insieme aiuta le aziende a creare una solida posizione di sicurezza basata su una filosofia Zero Trust".
Hendrik Schless, Senior Manager of Security Solutions presso il fornitore di sicurezza Attenzione
Il ransomware del modello di business rimane redditizio
“Il ransomware è il modello di business dominante tra i gruppi che conducono attacchi informatici a scopo di lucro. Quello che stiamo vedendo con la recente ondata di attacchi è che l'applicazione limitata della legge non risolverà il problema e certamente non lo farà dall'oggi al domani. Ma Swissport sembra aver contenuto l'attacco con un danno minimo alla sua capacità operativa, il che dimostra che il ransomware non è una mossa tutto o niente: "l'attacco ransomware riuscito ma limitato" è un termine che conosciamo spero che vedremo di più.
Rilevare e rimuovere gli aggressori dalla rete sta diventando un'attività operativa quotidiana in molte organizzazioni. Sebbene l'attacco non sia stato fermato prima della crittografia, Swissport sembra averlo contenuto rapidamente e limitato con successo il danno. La cosa più importante, soprattutto per le infrastrutture critiche, sono i processi di backup rapidi e funzionanti, come ha dimostrato in modo impressionante Swissport”.
Fabian Gentinetta dell'esperto di sicurezza informatica Vectra AI
Il danno causato dal ransomware può essere immenso
“Abbiamo visto i danni che gli attacchi ransomware possono causare quando le aziende sono in crisi, il che a sua volta ha un impatto sulla catena di approvvigionamento e sulla vita dei cittadini. I recenti attacchi a Oiltanking in Germania, SEA-Invest in Belgio ed Evos nei Paesi Bassi e Swissport sono preoccupanti, ma è prematuro parlare di attacchi coordinati da parte degli stati nazionali. Lo scenario più probabile è che gli aggressori lavorino con un database che contiene obiettivi simili e colpiscano nel segno con i loro sforzi.
Sebbene possano essere necessari mesi per svelare i dettagli di un attacco, i rapporti iniziali suggeriscono che BlackCat, ritenuto un nuovo marchio BlackMatter, potrebbe essere responsabile degli attacchi all'industria dei carburanti in tutta Europa. In un altro caso questa settimana, anche KP Foods è stata vittima di ransomware, con Conti accusato delle interruzioni. Quello che sappiamo di questi due gruppi di hacker è che gestiscono un modello di business ransomware-as-a-service (RaaS). Ciò significa che si tratta di criminalità organizzata con database delle vittime e numerosi partner. Questi non si legano a uno specifico gruppo di ransomware, ma spesso lavorano con più gruppi e utilizzano potenti bot per automatizzare la diffusione del malware.
I robot amplificano l'effetto
Dal punto di vista della vittima, in realtà è irrilevante chi sia il responsabile, tanto più che probabilmente lo si saprà solo tra qualche mese. La questione importante, tuttavia, è come sono avvenuti gli attacchi. Nella maggior parte dei casi, come nel caso di BlackMatter e Conti, si tratta di una vulnerabilità nota che consente al malware di penetrare nell'infrastruttura e crittografare i sistemi. BlackMatter è noto per prendere di mira software desktop remoto e sfruttare credenziali precedentemente compromesse, mentre Conti è noto per sfruttare vulnerabilità come Zerologon (CVE-2020-1472), PrintNightmare (CVE-2021-1675, CVE-2021-34527) ed EternalBlue (CVE -2017-0143, CVE-2017-0148). Un'altra via di attacco sta sfruttando le configurazioni errate in Active Directory e sia Conti che BlackMatter sono noti per utilizzare questa tattica.
Le organizzazioni devono essere consapevoli del fatto che i principi di sicurezza di base possono in gran parte bloccare il percorso dell'attacco ransomware. I team di sicurezza devono implementare soluzioni che forniscano visibilità, sicurezza e controllo appropriati sul cloud e sull'infrastruttura convergente. Chiedo al business: identifica i sistemi critici da cui dipende per funzionare. Identifica eventuali vulnerabilità che interessano questi sistemi, quindi agisci per correggere o correggere il rischio. Inoltre, prenditi cura dei privilegi eccessivi in Active Directory che consentono agli aggressori di elevare i propri privilegi e infiltrarsi ulteriormente nell'infrastruttura! Se queste misure di base non vengono prese, l'azienda è vulnerabile e rischia di interrompere chiunque attacchi.
Bernard Montel, direttore tecnico EMEA e stratega della sicurezza Sostenibile